Problemaufriss Wer im Internet surft greift auf Webserver zu

Bei Beratungen und Schulungen wird mir immer wieder die Frage gestellt, was es mit dem gläsernen Surfer auf sich hat und wie man sich gegen solche Ausforschungen schützen kann. Die möglichen Lösungen hängen von der eingesetzten Technik ab, so dass im Detail Unterschiede bei den Abhilfeformen bestehen.

11.4.1

Problemaufriss

Wer im Internet surft, greift auf Webserver zu. Die Server erhalten bei einem Zugriff immer die IP-Adresse des anfragenden Rechners, damit sie überhaupt die abgerufenen Daten an den richtigen Rechner zurückschicken können. Viele Webanbieter wollen das Benutzerverhalten detailliert analysieren. Zu diesem Zweck werden Informationen über die abgerufenen Seiten des Anbieters mit den IP-Adressen der jeweiligen Nutzer verknüpft. Die Server können auch ohne Zutun des Surfers weitere Informationen abfragen, indem sie diese von dem Browser durch verdeckte Befehle gezielt anfordern.

Ferner kann ein Server auch sog. Cookies auf dem anfragenden Rechner hinterlegen; sie übermitteln, wann was auf dem anfragenden Rechner oder auf dem Server geschah. Andere technische Mittel sind sog. Web-Bugs. Sie ergänzen die technische Palette, um das Verhalten der Surfer nachvollziehbar zu machen. Alle Techniken werden in besonderem Maße durch die Werbewirtschaft eingesetzt, die sich dadurch eine zielgenaue Werbung erhofft. Im Ergebnis wird dadurch aber das Verhalten der Surfer, meist ohne ihr Wissen, ausgeforscht.

Cookies (engl. cookie Keks) sind kleine Dateien, die zusammen mit den eigentlich angeforderten Daten aus dem Internet verschleiert an den Computer des Benutzers übermittelt werden. Dort werden diese Daten gespeichert und für einen späteren Abruf bereitgehalten. Dadurch wird im einfachsten Fall ein wiederholter Zugriff eines bestimmten Benutzers (exakt: des Browsers auf dem Computer, den er verwendet) auf das Internet-Angebot erkennbar.

Web-Bugs sind winzige, auf den Seiten des Anbieters versteckte Bilder mit hinterlegten Programmbefehlen, die vom Benutzer beim Abruf der Seiten nicht oder kaum wahrgenommen werden. Wenn sie mit einem Browser angesehen werden, könnten sie die IP-Adresse, die www-Adresse der besuchten Webseite, den Zeitpunkt des Ansehens und Informationen eines zuvor gesetzten Cookies an die www-Adresse eines vorgegebenen Servers senden. Sie können auch in E-Mails untergebracht werden.

Informationen, die während des Surfens über den Browser in Erfahrung gebracht werden können, sind z.B.:

· das Betriebssystem des Rechners;

· der benutzte Browser;

· ob aktive Elemente erlaubt sind;

Die ersten drei Informationen geben potentiellen Hackern Anhaltspunkte für Schwachstellen, die bei einem Angriff genutzt werden könnten.

· die E-Mail-Adresse, soweit sie im Browser gespeichert ist;

Durch die E-Mail-Adresse ist es natürlich besonders einfach, auf die Person zu schließen.

· die zuletzt aufgerufenen Webseiten;

Aus den zuletzt aufgerufenen Webseiten lassen sich Schlüsse über Interessen des Surfers ziehen. Wenn es dann noch gelingt, diese Informationen nicht nur für die laufende Sitzung, sondern auch für zurückliegende Sitzungen zu erhalten, ergibt sich ein aussagekräftiges Nutzerprofil.

· die IP-Adresse;

Wenn die IP-Adresse fest vergeben ist oder sich nicht ändert (z.B. wenn man bei Nutzung einer Flatrate den Rechner am Internet nicht abmeldet), steht damit das Herkunftsland fest, mitunter auch die Institution, der der Anfragende angehört. Die IP-Adresse ist das gemeinsame Merkmal, über das die Daten zusammengeführt werden können. So speichern z. B. über 90% der Top-100-Anbieter im Internet die Daten ihrer Nutzer. Eine Auswertung, wer sich für welche Angebote interessiert, kann dann mit der IP-Adresse geschehen. Auch wenn die IP-Adresse von dem bei jedem neuen Zugang zum Internet aus einem Pool freier Adressen zufällig ausgewählt wird, ist damit nicht automatisch die Anonymität gegeben.

Durch die in die politische Diskussion gebrachte Forderung der Innenminister des Bundes und der Länder, und Betreiber von Servern zur Protokollierung der Verbindungsdaten einschließlich der IP-Adressen und des Nutzungszeitraums sowie zu einer bestimmten Dauer der Aufbewahrung dieser Daten zu verpflichten, wäre es Strafverfolgungsbehörden in jedem Fall möglich, auf den Nutzer zu schließen (vgl. Entschließung Für eine freie Telekommunikation in einer freien Gesellschaft, Ziff. 21.1).

Die Zuordnung einer IP-Adresse zu einer Person kann beim Internet-Provider unschwer erfolgen, da er zu Abrechnungszwecken weitere personenbezogene Daten des Benutzers hat. Darüber hinaus kann aber u.U. auch eine solche Zuordnung beim Betreiber eines Servers erfolgen, z. B. wenn sich die Person über eine Bestellung oder die Eingabe einer E-Mail-Adresse zu erkennen gibt.

Neben den Informationen, die ein Server durch quasi lesenden Zugriff beschafft, gibt es auch die technische Möglichkeit, Daten auf dem Rechner des Surfers zu hinterlassen. Mit solchen Cookies oder mit Web-Bugs stehen Anbietern schon jetzt Mittel zur Verfügung, um Nutzerprofile zu erstellen. Durch das Auswerten von Cookies erkennen sie, welche Angebote jemand mit diesem Rechner bereits früher einmal abgerufen hat. Web-Bugs erlauben es dann technisch auch die Verbindung zu E-Mail-Adressen und zu Personen herzustellen.

Eine detaillierte Beschreibung, wie Nutzerprofile zu Werbezwecken erstellt werden, ist im Internetangebot des Heise Verlags (http://www.heise.de) und der onlinezeitung telepolis (http://www.heise.de/tp) zu finden.

11.4.2

Abhilfe

Um im Internet anonym zu surfen, müsste vor allem die IP-Adresse des eigenen Rechners verschleiert werden. Außerdem dürften möglichst keine Daten über die Nutzung, also keine Cookies oder Verlaufsdaten akzeptiert und gespeichert werden.

Zumindest am Ende einer Sitzung sollten die auf dem PC des Nutzers entstandenen Daten, was er wo im Internet getan hat, gelöscht werden.

Anbieter im Internet sog. Anonymizer, die allerdings oft kommerzielle Interessen haben, kann man als Startpunkt für das Surfen wählen, sie verschleiern die eigene IP-Adresse. Alle Anfragen laufen dann im Internet unter der IP-Adresse des Anonymizers, der die Ergebnisse an den Ursprungsrechner weitergibt.

Der Internet-Nutzer kann im Browser durch bewusst gesetzte Parameter unterbinden, dass Cookies gespeichert werden oder dass vor einer Speicherung nachgefragt wird. In vielen Fällen muss der Nutzer jedoch ein Cookie akzeptieren, damit er überhaupt ein Internetangebot nutzen kann. Deshalb sollte er Cookies, Verlaufdaten u.ä. am Ende einer Sitzung löschen.

Im Internet werden Programme angeboten, die dies automatisch auf dem PC des Nutzers erledigen sollen. Unter den Internetz-Adressen http://www.zdnet.de/download/magazine/pcpro/tt-wc.html (Name des Programms: one-klick-privacy) und unter http://www.setsystems.com (Name des Programms: Complete Cleanup) werden beispielsweise derartige Programme angeboten.

Auch über eine E-Mail gibt der Nutzer sich als Absender in aller Regel eindeutig zu erkennen. In den meisten Fällen soll der Empfänger auch wissen, von wem eine E-Mail stammt. Durch das gezielte Sammeln von E-Mails, was durch Geheimdienste oder im Zusammenhang mit Industriespionage zum Teil exzessiv geschieht, ergeben sich dann Profile von Nutzern.

Zwar kann der Inhalt einer E-Mail verschlüsselt werden, damit ihn nur der Empfänger zur Kenntnis nehmen kann, aber von wem an wen eine E-Mail verschickt wurde, ist trotzdem bekannt. Die Verschleierung des Absenders, und über den Rückweg auch des Empfängers, bieten sog. Remailer an. Diese ersetzen die Absenderadresse durch eine eigene Adresse, deren Zuordnung zu dem richtigen Absender nur ihnen bekannt ist. Dadurch wird zwar die Anonymität gegenüber potentiellen Sammlern und evtl. dem Empfänger erreicht, es entsteht aber beim Remailer ein zentraler detaillierter Datenbestand, der eine Zuordnung zulässt. Es muss daher zumindest eine klare Zweckbindung der beim Remailer entstehenden Daten sichergestellt werden, damit hier keine neuen Gefährdungspotentiale entstehen. Außerdem wird ein Empfänger in vielen Fällen keine anonyme E-Mail akzeptieren.

In jedem Fall sollte der Nutzer sich hinreichend informieren, wie für die eigenen Rahmenbedingungen die Lösung aussehen kann. Dann erhöhen Anonymizer und Remailer den Datenschutz. Wichtig ist vor allem eine Kontrolle der eigenen Speicherungstechnik, um hinterlassene Cookies nicht dauerhaft im eigenen Rechner oder Netz vorzuhalten.

12. Ausländerrecht 12.1

Personenausschreibungen im Schengener Informationssystem

Aus unterschiedlichem Anlass habe ich die Rechtmäßigkeit von Datenspeicherungen im Schengener Informationssystem überprüft. Dabei wurde festgestellt, dass die Ausschreibung zum Wiedereinreiseverbot in das Schengengebiet durch hessische Ausländerbehörden oft unzulässig oder falsch ist.

Nach der Abschaffung der Personenkontrollen an den Binnengrenzen der sog. Schengen-Vertragsstaaten wurde als Kompensationsmaßnahme das Schengener Informationssystem (SIS) eingeführt. Es hat u.a. zum Ziel, die öffentliche Sicherheit und Ordnung und die Sicherheit des Staates in den Vertragsstaaten zu gewährleisten. So werden zum Beispiel Personen, die mit Auslieferungshaftbefehl einer Vertragspartei gesucht werden, mit dem Ziel der Festnahme zur Personenfahndung ausgeschrieben. Ein anderer Grund für die Personenfahndung ist eine Einreiseverweigerung. Drittausländer also Ausländer, die keinem der Schengen-Vertragsstaaten angehören, die wegen einer Straftat verurteilt worden sind oder gegen die der begründete Verdacht besteht, dass sie schwere Straftaten begangen haben, werden zur Einreiseverweigerung ausgeschrieben. Auch die Ausweisung oder Abschiebung eines Ausländers kann einer Ausschreibung zur Einreiseverweigerung zugrunde gelegt werden.

Art. 96 Abs. 3 SDÜ

Die Entscheidungen können ebenso darauf beruhen, dass der Drittausländer ausgewiesen, zurückgewiesen oder abgeschoben worden ist, wobei die Maßnahme nicht aufgeschoben oder aufgehoben worden sein darf, ein Verbot der Einreise oder des Aufenthalts enthalten oder davon begleitet sein muss und auf der Nichtbeachtung des nationalen Rechts über die Einreise oder den Aufenthalt von Ausländern beruhen muss.

Jeder hat das Recht, über die zu seiner Person im Schengener Informationssystem gespeicherten Daten Auskunft zu erhalten (Art. 109 Abs. 1 SDÜ). Weiterhin hat jeder das Recht auf Prüfung der zu seiner Person gespeicherten Daten (Art. 114 Abs. 2 SDÜ). Art. 114 Abs. 2 SDÜ Jeder hat das Recht, die Kontrollinstanzen zu ersuchen, die zu seiner Person im Schengener Informationssystem gespeicherten Daten sowie deren Nutzung zu überprüfen. Dieses Recht wird nach Maßgabe des nationalen Rechts der Vertragspartei, an die das Ersuchen gerichtet wird, ausgeübt. Wurden die Daten durch eine andere Vertragspartei eingegeben, so erfolgt die Kontrolle in enger Abstimmung mit der Kontrollinstanz dieser Vertragspartei.

Die Prüfung, wie Auskunfts- und Löschungsanträge der Betroffenen nach Art. 109 Abs. 1 und 114 Abs. 2 SDÜ bearbeitet werden, zeigte häufig, dass nach abgelehntem Asylantrag die Anschrift des Betroffenen nicht mehr stimmte und auch Hessischer Landtag · 15. Wahlperiode · Drucksache 15/250042 nicht festgestellt werden konnte. Die Betroffenen waren entweder längst außer Landes oder untergetaucht. In diesen Fällen war die Ausschreibung im SIS nicht zulässig, denn sie waren nicht ausgewiesen, abgeschoben oder zurückgewiesen, wie es in Art. 96 Abs. 3 SDÜ vorgesehen ist.

Ich stieß weiterhin auf das Problem, dass die deutschen Ausländerbehörden eine Vorschrift im SDÜ zur Löschung teilweise falsch auslegen.

Art. 112 Abs. 1 SDÜ

Die zur Personenfahndung in dem Schengener Informationssystem aufgenommenen personenbezogenen Daten werden nicht länger als für den verfolgten Zweck erforderlich gespeichert. Spätestens drei Jahre nach Ihrer Einspeicherung ist die Erforderlichkeit der weiteren Speicherung von der ausschreibenden Vertragspartei zu prüfen. Für die Ausschreibung gemäß Artikel 99 beträgt diese Frist ein Jahr.

Das Bundeskriminalamt (BKA) wertet regelmäßig den nationalen Datenbestand des SIS aus und weist gegebenenfalls die Ausländerbehörden darauf hin, dass in Kürze seit der Einspeicherung drei Jahre verstrichen sein werden. Es gibt den Ausländerbehörden in jedem Einzelfall einen Vordruck zur Hand, mit dem sie die Löschung in dem Informationssystem veranlassen können. Das in Deutschland praktizierte Verfahren sieht vor, dass falls die Löschung nicht veranlasst wird die Aufbewahrungsdauer um weitere drei Jahre verlängert wird. Bleibt der Vordruck also unbearbeitet, wird die Aufbewahrungsdauer automatisch verlängert. Erst nach Ablauf von weiteren drei Jahren erfolgt die Löschung. Dieses Verfahren führt dazu, dass in zahlreichen Fällen keine hinreichende Sachentscheidung über die Notwendigkeit einer Verlängerung auf sechs Jahre getroffen wird.

12.1.1

Auskunftsanträge von Betroffenen

Über den Bundesbeauftragten für den Datenschutz und die nationale Kontrollinstanzen anderer Schengen-Vertragsstaaten erreichten mich im Berichtszeitraum ca. 20 Anträge nach Art. 114 Abs. 2 SDÜ.

Bei meinen Überprüfungen habe ich die verschiedensten Fallkonstellationen angetroffen.

Bei einigen Personen waren die Ausschreibungsvoraussetzungen nicht erfüllt. Die Betroffenen waren weder ausgewiesen, zurückgewiesen noch abgeschoben, wie Art. 96 Abs. 3 SDÜ verlangt. In einem Fall räumte die Ausländerbehörde ein, die Ausschreibung sei versehentlich erfolgt. In einem anderen Fall in dem die Ausschreibung offensichtlich rechtswidrig war musste das Innenministerium eingeschaltet werden, bis die Ausländerbehörde des Landkreises Bergstraße zugestand, sie habe im Interesse einer bundeseinheitlichen Handhabung die Ausschreibung der Ausländerin gelöscht. In einer Reihe weiterer Fälle konnte aufgrund von Erklärungen und vorgelegten Unterlagen davon ausgegangen werden, dass die Personen sich mittlerweile rechtmäßig in einem anderen Schengen-Staat aufhielten. Daraufhin löschten die Ausländerbehörden ihre Ausschreibung. In zwei Fällen hatten Straftäter die Personalien anderer Personen benutzt. Als die Unbescholtenen eine Schengen-Außengrenze übertreten wollten, wurden sie für die gesuchte Person gehalten und durften die Grenze nicht übertreten. Nur bei weniger als der Hälfte aller geprüften Fälle war die Datenspeicherung nicht zu beanstanden.

12.1.2

Prüfserie bei weiteren acht Ausländerbehörden

Im Rahmen eines Informationsaustausches mit anderen Datenschutzbeauftragten wurde von der Erfahrung berichtet, dass einige Ausländerbehörden ihrer Prüfpflicht nach dreijähriger Speicherdauer nicht nachkommen. Die Hinweise, die das BKA nach Auswertung des nationalen Datenbestandes des SIS den Ausländerbehörden erteilt, blieben unbearbeitet.

Ich bin diesem Vorwurf nachgegangen und erhielt vom BKA eine Aufstellung aller Datensätze, über die in einem bestimmten Zeitraum hessische Ausländerbehörden auf den Ablauf der Dreijahresfrist aufmerksam gemacht worden sind. Zu diesem Zweck wurden die Ausländerbehörden in Frankfurt, Gießen, Groß-Gerau, Hanau, Hofheim, Kassel, Limburg und Wetzlar geprüft.

Aus Sicht des Datenschutzes ging die Ausländerbehörde des Landkreises Kassel am sorgfältigsten vor. In allen Fällen befand sich die Mitteilung des BKA mit Bearbeitungsvermerken versehen in den Ausländerakten. Weitgehend handelte es sich um Kopien, denn mit den Originalen war, nachdem nach dreijähriger Speicherdauer im SIS keine weiteren Informationen zu den abgeschobenen oder ausgewiesenen Personen mehr angefallen sind, die Löschung der Daten veranlasst worden.

Ähnlich sorgfältig wurde im Main-Taunus-Kreis vorgegangen. Ebenfalls mit Bearbeitungsvermerken versehen, fanden sich fast alle Hinweise des BKA in den Akten. Allerdings mit gegenteiligem Prüfergebnis: Weil sich nach der Ausweisung oder Abschiebung der Betroffenen in den verstrichenen drei Jahren keine neueren Informationen zu den Ausländern ergaben und die Ausweisungen oder Abschiebungen mit einem unbefristeten Wiedereinreiseverbot in die Bundesrepublik verbunden sind, müsse die Ausschreibung im SIS so die Ausländerbehörde des Main-Taunus-Kreises erhalten bleiben. Es wurde also die Löschung nicht veranlasst.

Im Main-Kinzig-Kreis waren zwar alle Hinweise des BKA in den Akten abgeheftet, allerdings war nicht ersichtlich, dass sie auch bearbeitet waren. Die Angabe der Ausländerbehörde, wenn die Mitteilungen abgeheftet sind, seien sie auch bearbeitet worden, überzeugte nicht. Die genaue Nachschau ergab in mehreren Fällen Zweifel an der Rechtmäßigkeit der Ausschreibung im SIS, die die Ausländerbehörde nicht ausräumen konnte.

Einer Ausländerbehörde war das Verfahren überhaupt nicht bekannt. In den anderen Landkreisen waren die Mitteilungen des BKA zu einem geringen Teil nicht auffindbar, zum Teil mit und ohne Bearbeitungsvermerk in den Akten zu finden.